Hlavní strana -> Časopis IT Systems -> Rok 2022 -> IT security -> Zranitelný lidský faktor umožňuje hackerům obejít i dvoufázové ověření
IT security , IT Security

Zranitelný lidský faktor umožňuje hackerům obejít i dvoufázové ověření

Je dobře známo, že pro bezpečný přístup k on-line službám už dlouhou dobu nestačí používat jen uži­va­tel­ská jména a hesla. Proto se používá další level zabezpečení – vícefázové ověřování – které se stalo v mnoha případech nutností. K přihlašování pomocí hesla přidává ještě další nezávislou metodu. Jak se však ukázalo, ani toto nemusí být dostačující, zejména v případě cílených útoků. Problém není v samotné technologii, ale největší slabinou, jak se ukazuje, je i tady sám uživatel. Proti automatizovaným útokům chrání dvoufaktorová autentizace téměř stoprocentně.


Studie ukazují, že k více než 80 % všech bezpečnostních narušení dochází v souvislosti s hackingem. Především z důvodu kom­pro­mi­to­va­ných a slabých přihlašovacích údajů. Čísla, která přitom zveřejnila společnost Microsoft naznačují, že uživatelé, kteří povolili více­fá­zo­vou, nebo také dvoufaktorovou autentizaci, nakonec zablokovali asi 99,9 % automatizovaných útoků. „To je skvělé číslo, ale jako u kaž­dé­ho dobrého řešení kybernetické bezpečnosti útočníci mohou přijít na způsoby, jak ho obejít. A jak dokládá nedávný případ kryp­to­mě­no­vé burzy Coinbase, to se také stalo,“ prozrazuje Martin Lohnert, odborník na kybernetickou bezpečnost ze společnosti Soitron.

Martin Lohnert
Martin Lohnert

Jak lze zabezpečení obejít?

Dvoufaktorovou autentifikaci lze obejít na základě jejího principu fungování. Tedy prostřednictvím vypátrání, lépe řečeno odcizení např. jednorázových kódů zaslaných v SMS na mobilní telefon uživatele. Tato metoda spočívá v tom, že hackeři nejprve na základě vyzrazeného seznamu e-mailů zašlou uživatelům e-mailové sdělení, které se tváří např. jako zpráva od banky. Pokud v něm uživatel klikne na odkaz, dojde k otevření webové stránky, která vypadá legitimně – jako kdyby byla banky. Uživatelé, kteří si dávají pozor a mají jisté IT znalosti, odhalí, že něco může být špatně. Většinou se podvržená stránka ukrývá na internetové adrese, která nepatří bance a obsahuje například překlep.

Až sem nejde o žádnou nově používanou techniku. Nové je to, co následuje potom. Jako URL adresa se použije něco ve tvaru www.mojebanka.cz.resethesla.cz. Na první pohled jde o doménu banky, takže vše vypadá v pořádku, ale zkušený uživatel ví, že doména druhého řádu není www.mojebanka.cz, ale resethesla.cz. A v tom je velký rozdíl, protože tato doména patří útočníkům. Ještě více alarmující je, že pokud na tento web přejde uživatel z mobilního telefonu, tak se mu v případě, že adresa banky je delší, nemusí zobrazit celá. Tudíž vidí jen to, na co je zvyklý. V tomto případě nejde o žádnou technickou chybu, ale o využití zranitelnosti UX – tedy toho, že víme, že browser v mobilu zobrazí jen určitý počet znaků URL adresy a ten zbytek je skrytý. Podvodná stránka může v případě tohoto „triku“ také použít SSL zabezpečení (URL začíná https://), aby díky v browseru zobrazenému zámku evokovala v uživatelích pocit bezpečnosti. Málokdo, si totiž otevírá a ověřuje detaily certifikátu, kterým je SSL šifrované.

Vše začíná phishingem

Pokud na podvrženou adresu uživatel skočí, pak hackeři využijí phishingový útok. K tomu stačí, aby jejich web 1:1 vypadal jako ten patřící bance. Na přihlašovací stránce uživatel zadá jméno a heslo. Tím hacker získá první klíč pro vstup. Okamžitě, tedy v reálném čase po obdržení, tyto údaje ručně zadá do opravdového webového rozhraní banky. Ta jeho majiteli na jeho mobilní telefon pošle autentifikační SMS kód, a pokud ho uživatel zadá opět do podvržené stránky, má hacker, co potřebuje.

Během chvilky se ocitne v internetovém bankovnictví uživatele, na nic nečeká a zadá příkaz k platbě. Ten je zapotřebí opět potvrdit. Proto opět uživateli na mobil přijde SMS kód, ale protože stále na podvržené stránce čeká na vstup do banky, tak se mu v tomto mezidobí zobrazí například hlášení, že ho přihlašují, a chvilku počká. Následně se zobrazí informace o tom, že první přihlášení se nepovedlo a a zadá druhý SMS kód, který mu byl právě odeslán. „A to je ten kód, který slouží k potvrzení provedení skutečné platby. Jestliže si tohoto upozornění v SMS uživatel nevšimne, a zadá ho do phishingové stránky, hacker ho přepíše do internetového bankovnictví a peníze se mu povede z účtu odčerpat,“ prozrazuje Martin Lohnert.

Přepisování kódů pod palbou

Jak je vidět, i s minimálními úsilími lze prorazit dvoufázové auten­ti­fi­kač­ní zabezpečení. „Proto je mnohem bezpečnější používat novější typy dvoufázového ověřování, a to prostřednictvím spe­ci­a­li­zo­va­ných aplikací. V nich je právě eliminováno riziko přepisování kódů a vše se děje v rámci rozhraní banky automaticky,“ uvádí Martin Lohnert. Starší podoby, tedy právě ruční přepisování jsou přitom dále využívány nejen různými službami – mimo jiné v aplikaci Google Authenticator, Microsoft Authenticator a právě některými bankami.

Ačkoliv musí být splněno několik podmínek a na sebe navazujících kroků, aby výše uvedené útoky fungovaly, prokazují zranitelnost ve dvoufázových identifikačních metodách založených na SMS a také to, že tyto útoky nevyžadují vysoké technické schopnosti.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

MPSV zvyšuje kybernetickou odolnost

s VR řešením Company (Un)Hacked

Ministerstvo práce a sociálních věcí (MPSV) je ústředním orgánem státní správy. Kybernetická bezpečnost je pro MPSV zásadní, nebo všechny agendové systémy jsou součástí kritické infrastruktury a musí naplňovat požadavky kybernetického zákona. Odbor kybernetické bezpečnosti vedený Janem Mikuleckým spravuje rozsáhlou ICT infrastrukturu včetně kritických systémů resortu, stejně jako citlivá data milionů občanů – sociální dávky, zaměstnanost – a musí odolávat stále rostoucím hrozbám v digitálním prostoru.